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(57) Abstract 

The invention relates to a process which is divided into individual 
modular phases. During authentication of the first computer unit (CI) 
and the second computer unit (C2), authentication references (AR^, ARb) 
are exchanged and are used in further cryptographic phases (SP. SA) 
thereby eliminating, also as a result of the modular structure, the need for 
new authentication which is actually required in each case in the other 
cryptographic phases (SP, S.\). said auihcntication being also no longer 
pe rformed . 

(57) Zusammenfassung 

Das Verfahren isi in einzclne modulare Phasen aufgcteilt. Wiihrcnd 
cincr Authentifikation der erstcn Computcreinhcit (CI) und der zwciten 
Computcreinhcit (C2) werdcn Authentifikationsrefcrcnzen (ARa. ARr) 
ausgclauscht, die in wciteren kryptographischcn Phasen (SP, SA) verwcndet 
werden. Dadurch und durch den moduiaren Aufbau ist einc in den 
wciteren kryptographischcn Phasen (SP. SA) eigentlich bentttigte jewetis 
neue Authentifikation nicht mehr erforderlich und wird auch nicht mchr 
durchgefUhn. 
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Beschreibung 

Verfahren zum kr yptographischen Schiusselmanagement zwischen 
einer ersten Computereinheic und einer zweiten Comput erem- 

3ei einer Koininunikat ion zwischen KoOTnunikations teilnehmern 
isc es in vieien cechnischen Bereichen notwendig, die Kommu- 
nikation der Teilnehiner mittels kryptographischer Verfahren 

10 gegen ieglichen MiBbrauch abzusichern. Dabei ist der Aufwand, 
der fur eine kr^p tographische Absicherung der gesamten Kommu- 
nikation erforderlich ist, abhangig von der jeweiligen Anwen- 
dung . So ist es beispielsweise in Pr i va tgesprachen unrer U.t.- 
standen niche von sehr grofier Bedeutung, daB alle kryptogra- 

15 phi sen moglichen Sicherhei tsmaftnahmen zur Absicherung der 
Kommuni kar ion getroffen werden. Bei Kormnuni kacion mit sehr 
vertraulichem Inhait ist jedoch beispielsweise eine sehr 
sr.rikte Absicherung der Koramunikation von erheblicher Bedeu- 
tunc: , 

2 0 

Die A.usv/ahl von fiir die Absicherung der Koramunikation verwen- 
de cen 3 i che rhe i csdi ens ten, Sicherhei t smechanismen, S icher- 
heitsalgori thmen und Sicherhei tsparame tern v/ird ais Sicher- 
hei tspolitik, die wahrend der Kommuni ka t ion zwischen Kommuni- 
25 kat ionspartnern eingehaiten wird, bezeichnet. 

Da jedoch das Sicherhei tsbediirfnis und damit verbunden die 
Sicherheicspoli tik von Kommunikationssi t zung zu Kommunikati- 
onssitzung und von Anwendung zu Anwendung unterschiedlich ist 

30 und da die Kommuni kat ions tei Inehiner tatsachlich nicht liber 

alle kryptographischen Verfahren verfugen, kann es bei haufig 
wechselnden Kommuni kationspartnern zu schwerwiegenden Diskre- 
panzen in der er f orderlichen bzw. moglichen Sicherhei tspoii- 
tik kommen, die von der jeweiligen Computereinhei t des Kommu- 

35 nikat ionspartners unterstutzt wird und somit gewahr leis tet 
werden kann. 
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Es ist erforderiich, dali in jeder Kommuni ka t ionss i t zung in- 
nerhalb einer Gruppe, die an einer Kormunikationssitzung 
teilnimmt:, eine einheitiiche Sicherheitspoiitik fur die je- 
weiiige Kommuni ka tion festgelegt vvird. 

5 

Bei einer Vielzahi unterschiedlicher Applikationsprotokolle, 
welche beispielsweise in dem Dokument [1] beschrieben sind , 
z. B. CMAP, CDAP, etc., tritt das Problem auf, dali verschie- 
dene Applikationsprotokolle gleicher oder verschiedener Com- 

10 putereinheiten eine unterschiedl iche Sicherheitspo'litik benb- 
tigen. Es werdsn eventuell auch eigene, fur das jeweilige Ap- 
plikationsprotokoli spezifische kryptographische Schlussei 
fur eine logische Verbindung des jeweiligen Applikationsprc- 
tokolls zwischen zwei Computereinheiten bendtigt. Da ver- 

15 schiedene Applikationsprotokolle auf emer Computereinheit 
impiementiert sein konnen, mussen uncer Urr.standen mehrere 
kryptographische Schlussei zwischen zwei Computereinheiten 
ausgetauscht werden. Auch kann es aus diesem Grund nbtig 
sein, mehrere verschiedene Sicherheitspolitxken zwischen zwei 

20 Computereinheiten auszuhandeln . 

Ein sicherer Schlusselaustausch oder eine vert rauenswUrdige 
Aushandlung einer Sicherheitspoiitik basiert auf einer gegen- 
seitigen Authentif ikation der in "die Aushandlung bzw. m den | 
25 Schlusselaustausch involvierten Computereinheiten vor dem ei- 
gentlichen Schlusselaustausch bzw. der Aushandlung der Si- 
cherheitspoiitik . 

Es wird ublicherweise vor ^eder Aushandlung einer Sicher- 
30 heitspciitik bzw. vor j edem Schlusselaustausch eine Authenti- 
f ikationsphase durchgef uhrt, in der die Computereinheiten 
sich gegenseitig authentif izieren . 

Dies fuhrt bei einer Vielzahi von Aushandlungen einer Sicher- 
35 heitspolitik oder Schlusselaustauschvorgangen zu einer Viel- 
zahi von durchgefuhrten Authentif ikationen, die einen erhoh- 
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ten Koiumunikatronsaufwand und erhohten Bedarf an Rechenkapa- 
zitat bedeuten. 

Dieses Problem wird noch verscharft, wenn nicht nur zwei Com- 
5 putereinhei ren mi teinander komjuuni z ler en , sondern wenn mehre- 
re Comput ereinhe i Len vorgesehen sind, die verschiedenen Si- 
cherhei tsdomanen zugeordnet werden. Unter emer Sicherheits- 
domane ist in diesem Zusamiuenhang eine Menge von Computerem- 
heiten zu verstehen, die eine gememsame Sicherheitspolitik 
10 verfoigen. 

In diesem Fall wird ubiicherweise die Authentif ikation auf 
Basis der Sicherheitsdomanen durchgef uhr c . 

15 Eine Obersicht iiber allgemem verwendbare krypcographi sche 

Verfahren,. die in dem Verfahren eingesetzt werden konnen, ist 
beispielsweise in dem Dokument [2] zu finden. 

Es ist bekannt, zwischen . zwei Kommunikat ionspartnern eine Si- 
20 cherheicspcli tik aus zuhandeln, wobei sich jedoch die in die- 
sem Dokument beschriebene Aushandlung nur auf wenige, zuvor 
festgelegte Parameter beschrankt ist [3] . 

Der Erfindung liegt das Problem zugrunde, em Verfahren zum. 
25 Schlusseimanagement zwischen zwei Computereinhei ten anzuge- 
ben, bei dem der benotigte Kommuni ka t ionsauf wand und die zur 
Durchfuhrung des Verfahrens benotigte Rechenkapazi tat gerin- 
ger isc als bei bekannten Verfahren. 

30 Das Problem wird durch das Verfahren gemafi Pa t encanspruch 1 
geidst- 

Bei dem Verfahren wird eine Authentif ikation zwischen zwei 
Com.putereinhei ten durchgef iihrt , in deren Rahmen Authenti f ika- 
35 t ionsref erenzen zwischen den Computereinhei ten ausgetauscht 

werden. Mit den Authentif ikationsref erenzen wird eine geheime 
Information zwischen den Computereinhei ten ausgetauscht, an- 
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hand derer eine Authenti f i kation der Computereinheiten mog- 
lich ist. Eine anschl ieBende Aushandiung einer Sicherhei t spo- 
licik und/oder ein anschl ief^ender Schiusseiaus tausch zwischen 
den Computereinheiten erfolgt unter Verwendung der Authenti- 
5 f ikationsref erenzen . 

Durch dieses Verfahren ist es moglich, explizite ,Authent if i- 
kat ionsphasen zwischen den Computereinheiten fur jeden neuen 
Schlusseiaustausch und/oder fur jede neue Aushandiung einer 

10 Sicherhei tspolitik zu vermeiden. Dies bedeutet beispielsweise 
bei einer Vielzahl von eingesetzren Applikationsprotokollen 
Gine erhebliche Reduktion benbtigter Authentif ikat ionsphasen, 
da die Authentif ikat ion nur ciniriai zwischen den Compu t erexn- 
heiten durchgefuhrt werden muf^ und filr alle weiteren Schritte 

15 die Authentif ikation der Computereinheiten impiizit anhand 
der m.it ubertragenen Authentif ikationsreferenzen erfolgt. 

Damit wird der flir ein Schiusseimanagement benbtigte Kommuni- 
kationsauf wand zwischen den Computereinheiten sowie der benb- 
20 tigte Rechenzeitbedar f erhebiich reduziert. 

Vorteilhafte Wei terbildungen der Erfindung ergeben sich aus 
den abhangigen Anspruchen. 

25 Bei Gruppierunq einer Vielzahl von Computereinheiten m Si- 
cherheitsdomdnen und einer Authentif i kation der Compucerein- 
heiten auf Basis der Sicherhei tsdomane, der die "jeweilige 
Computereinheit zugeordnet ist, wird eine wextere Emsparung 
benbtigten Kommunikaticnsauf wands und benbtigter Rechenkapa- 

30 zitat erreicht. Dies wird durch "den modularen Aufbau des Ver- 
fahrens erreicht, da nur fur jeweils e.ine Computereinheir ei- 
ner Sicherheitsdomane eine explizite Authentif ikationsphase 
durchgefuhrt werden mufi . Werden Aushandlungen einer weiteren 
Sicherhei tspolitik und/oder ein weiterer Schlusseiaustausch 

35 zwischen weiteren Computereinheiten der ent sprechenden Si- 

cherheitsdomanen, fur die schon eine gegenseitige Authentif i 
kation erfolgte, kbnnen die ausge tauschten Authentif ikat ions 
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referenzen bei der weiteren Aushandlung und/oder dem weiteren 
Schlusseiauscausch implizit zur Authenti f i ka t ion der weiteren 
Compu tereinhei ten eingesetzt we r den . 

5 Ferner ist es in emer Wei terbi Idung des Verfahrens vorteil- 
haft, Hash-Funkt ionen zu verwenden^ die auf synune t r ischen 
Kryptoalgor i thmen ,basieren,- da eine Eildung von Hash-Werten 
unter Verwendung von solch.en Hash-Funktionen sehr schnell 
durchgefuhrt werden kann. .Damit wird die Durchfuhrung des 
10 Verfahrens erhebiich beschleunigt . 

Durch Verwendung Digitaler Signaturen in dem Verfahren wird 
eine vert rauensv/iirdige , nicht abstreitbare Durchfuhrung des 
Verfahrens ruoglicn. 

15 , * 

Weiterhin ist es vorteiihaft, eine Verbindungsabbauphase 
(Disconnect) durchzuf uhren, in deren Rahmen geteiite Geheim- 
nisse, beispielsweise der ausge tauschte Schlussel oder die 
Authenti f i kat ionref erenzen geldscht werden. Damit wird die 

20 " Sicherheit des Verfahrens weiter erhdht, da keine ausge- 

tauschten geheimen Informat ionen fur andere Computereinhei ten 
zum eventueiien spateren Mifibrauch zur Verfugung stehen. Die 
Verbindungsabbauphase dient weiterhin zur Synchronisation der 
bei der PComraunikation beteiligten Computereinheiten . 

25 

In einer We i terbi Idung des Ver f ahrens " is t es vorteilhaft, die 
geheimen Informat ionen sukzessive zu idschen, so dafi eine 
hiera-rchische Wiederverwendung geheimer, zuvor ausge tauschter 
Information z. B. bei weiterem Austausch von Schlusseln mog- 

30 iich ist. Dies bedeutet beispielsweise, daB zu Beginn der 

Verbindungsabbauphase der fur die logische Verbindung ausge- 
tauschte Si tzungsschlussei gelpscht wird, die zwischen den 
Applika tionsprotokollen ausgehandel te Sicherhei tspol i t i k noch 
gespeichert blelbt. Bei einer anschliefienden neuen logischen 

35 Verbindung zwischen den Applikationsprotokollen der Compu- 
tereinheiten ist es dann iediglich er f orderlich, einen neuen 
Schlussel zwischen den Computereinheiten auszutauschen . Die 
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zuvor ausgetauschen geheimen Inf ormat ionen, beispieLsweise 
die Authentif ikationsref erenzen oder die ausgehandelt e Si- 
cherhei tspoli tik kann weiter auch bei der neuen logischen 
Verbindung wieder verwendet werden. 

In den Figuren ist ein Ausfiihrungsbeispiel der Erfindung dar- 
gestellt, welches im weiteren naher erlautert wird. 

Es zeigen 



10 



Pig. 1 ein Ahlauf diagramin, in dem die einzelnen Ver- 

f ahrensschritte des Verfahrens dargestellt sind. 

Fig, 2 eine Skizze eines Nachr icht enf ormats , in dem die 
bei dem Verfahren ausgetauschten Nachrichten 
15 vorteiihaft ubertragen werden konnen . 

Im Rahinen dieser Erfindung ist der Begriff des kryptogr aphi - 
sche Verfahrens m einer Weise zu verstehen, dafi sowohi alle 
kryptographische Verfahren, als auch die nicht kryptographische 
20 Verfahren zur Integr i tatspriif ung des Datenpakets DP, bei- 

spielsweise der Cyclic-Redundancy Check (CRC) mit dem Begriff 
kryptographisches Verfahren bezeichnet werden. 

In Figur 1 xsz ein Beispiel des Verfahrens dargestellt, an- ^ 
25 hand dessen die Erfindung dargestellt wird, Wie im weiteren 

erlautert wird, ist dieses Auf Uhrungsbeispie 1 keinesfalls als 
ausschiiePjliche Real isierungsmogl ichkeit der Erfindung zu 
verstehen. Varianten des Aus f uhrungsbeispiels in den einzel- 
nen Ver f ahrensschritten sind fur den Fachmann bekannt und 
30 werden im Rahmen der weiteren Beschreibung eriautert. 

Zu Beginn des Verfahrens wird zwischen einer ersten Compu- 
tereinheit CI und einer zweiten Computereinhei t C2 eine Au-. 
thentif ikation durchgef uhrt . Die Authentif ikat ion erfolgt in 
35 einer Authentif ikationsphase A. 
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Die Authenti f i kation kann beispieisweise nach dem in dem 
X . 509-S tandard beschriebenen Verfahren zur starken Authenti- 
fikacion erfolgen. Dies Authent i fi kation wird dabei bei- 
spieisweise aur folgende Weise durchgef uhrt . 

Von der ersten Computereinheic CI wird ein erstes Zertifikat 
CertE^, welches einen vertrauensv;urdigen, von einer .vertrau- 
enswurdigen dritten Instanz, der Zer t i f i zierungseinhei t zer- 
tifizierten, dffentlichen Schlussei der ersten Compucer e in- 
heir CI enthalt, zu einer zweiten Copmu t ereinhei t C2 ubercra- 
gen . 

Ferner wird von der ersten Computereinhei t CI zusatzlich zu 
dem ersten Zertifikat Certn eine erste Signa turnachricht SI 
gebiidet/ die durch eine digitals Uncerschri f t uber eine er- 
ste Nachricht Nl mit einem geheimen Schlussei S?:_A der ersten 
Computereinhei t Cl gebildet wird. 

Die erste Nachricht Nl enthait beispieisweise einen ersten 
Zeitstempel T;^, eine erste Zufaiiszahl Rp^, die im Rahmen die- 
ses Verfahrens eindeutig ist, eine Identi tatsangabe Iq der 
zweiten Computereinhei t C2/ bei Verwendung des X.509- 
Authenti f i ka tionsmechanismus beispieisweise die eindeut ige 
Identi tatsangabe der zweiten Computereinhei t C2 , bei einer im 
weiteren beschriebenen Aushandlung einer zu verwendenden Si- 
cherheispolitiV:^ die sich liber eine ganze Sicherheitsdomane 
erstreckt, eine Domanenangabe SDID, der die zwei te "^Compu- 
tereinheit Cl zugeordnet wird, sowie eine mic einem dffentli- 
chen Schlussei PK__3 der zweiten Computereinhei t C2 verschlus- 
selte Authent i fikaticnsreferenz APxp, der ersten Computerein- 
heit Cl, die einem Pseudoschlussel der ersten Computereinhei t 
Cl entspricht 

Das erste Zertifikat Certj^ sowie die erste S igna turnachricht 
SI wird an die zweite Computereinhei t C2 ubertragen. 
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Nach Auswertung ( Verif izierung) der ers-ten Signaturnach- 
- richt SI, welche zur Abwehr von kr^^^togr aphischen Angriffen 
unterschiecilicher Art dient, wird in der zweiten Computerein- 
heit C2 eine zweice Signaturnachr icht S2 gebiidet und an die 
5 erste Computereirihei t CI ubertragen. 

Die zweite Signaturnachricht '.S2 enthalt beispielsweise fol- 
gende Komponenten : 

einen zweiten Zeitstempel Tg, 
10 - eine zweite, eindeutige Zufailszahl Rq, 

eine Iden t i catsangabe Ijx^ der ersten Ccmputereinhei t CI, 
die erste Zufailszahl Rj^, 

eine mit einem offentlrchen Schlussel PK_A der ersten 
Computereinheit CI verschiussel te Aut henti f i ka- 
X5 t lonsref erenz ARg der zweiten Computereinheit C2 . 

Die oben beschr lebenen Komponenten bilden eine zweite Nach- 
richt N2, die durch Biidung einer digitalen Unterschrift un- 
ter Verwendung ernes geheiraen Schiussels SK_B der zweiten 
20 Computereinheit C2 bestimmt wird. 

Die geheimen Pseudoschlussel in Funktion der Authenti f ikat i- 
■ onsreferenz ARa der ersten Computereinheit CI und der Authen- 
ti fikationsref erenz ARb der zweiten Computereinheit C2 diene^ 

25 im weiteren Prctoko ilablauf dazu, nachfoigende Protokolipha- 
sen und Pro tokollnachr ichten kr yp togr aphisch an die Authenti- 
f ikationsphase zu koppeln. Bei Verwendung des X . 509-S tandards 
kann die Authenti fi kationsreferenz AP.a der ersten Compu- 
tereinheit CI in einem Feld' Ubertragen werden, das fur einen 

30 ^geheimen Bit-String^^ vorgesehen ist. 

Nach Empfang und Auswertung, d. h. Verif izierung der zweiten 
Signaturnachricht S2 m der ersten. Computereinheit CI wird 
von der ersten Computereinheit CI eine dritte Signaturnach- 
35 richt S3 gebiidet und an die zweite Computereinheit C2 uber- 
tragen . 



wo 97/47109 

I ji. 



PCT/DE97/01002 



9 

Die dritte Signaturnachr icht S3 wird gebild'et unter Verwen- 
dung des geheimen Schlussels SK__A der ersten Computerein- 
heit CI, mit dem eine dritte Nachricht N3 verschlussel t wird. 
Die dritte Nachricht N3 enthalr mindestens die Ident i tatsan- 
gabe Ib der zweiten Computereinhei t C2 sowie die zweite Zu- 
failszahi Rg . 

Die Auchentif ikation kann jedoch durch jede andere Authenti- 
fikation zwischen der ersten Computereinhei t CI und der zwei- 
ten Computereinhei t C2 erfoigen, beispieiswe ise unter Verv/en- 
dung des Prinzips des exponent ieiien Schlusselaus tauschs , z. 
B. unter Verwendung des sog. Di f f ie-Hellmann-Ver f ahrens , Bei 
Verwendung des Di f fie-Hellmann-Schlusseiaus tauschs wird der 
ausce t auschte Schlussel direkt ais die im weiteren Verfahren 
verwendete Authentif ikar ionsref erenzen I^J^ix^f ARg verwendet . 

In der Authent i f i ka t ionsphase A. ist es iediglich erforder- 
licri, daB zv/ischen der ersten Computereinhei t CI und der 
zweiten Computereinhei t C2 die A.uthenti f ikationsref erenzen 
ARa, ARb in vert rauenswurdiger Weise ausgetauscht werden. 
Dies bedeuret, dafi es nur erforderiich ist, dafi in den beiden 
Computereinhei ten CI, C2 eine fur die jeweilige Computerein- 
heit CI, C2 charakteris t ische geheime Information in der je- 
weiiigen anderen Computer einhe i t CI, C2 nach der Authentifi- 
kationsphase A vorliegr-. 

Nach erfoigter Authentif ikation wird zwischen der^ersten Com- 
putereinheit CI und der zweiten Computer einheit C2 eine in 
der weiteren Kommunikationsphase eingesetzte Sicherheitspoli- 
tik ausgehandelt und/oder es* wird ein kr yptographische 
Schiussel ausgetauscht. 

Im weiteren werden sowohl eine Aushandlungsphase SP der Si- 
cherheitspoli tik als auch eine Schluselaus tauschphase SA de- 
tatilliert erlautert. Es ist jedoch in Varianten des Verfah- 
ren vorgesehen, nur die Aushandlungsphase SP der Sicherheits- 
poiitik Oder die Schiuselaustauschphase SA durchzuf uhren . Die 



wo 97/47109 




PCT/DE97/01002 



10 

gemeinsame Darstellung beider Phasen SP, SA in dem Ausfiih- 
rungsbeispiei dient lediglich der deutlicheren Darstellung 
der Erfindung. 

5 Die Aushandlungsphase SP der Sicherheitspolitik kann bei- 

spieisweise durch folgende Ver f ahr ensschr i tte charakter is ler t 
s e i n . 

Hit diesem modular aufgebauten Protokoll wird eine gegensei- 
10 tige Authen-t i f ikation der ersten Computereinhei t CI., und der 
zweiten Computereinhei t C2 fiir weitere Aushandlungen der Si- 
cherheitspolitik zwischen der ersten Computereinhei t CI und ^'^^ 
der zweiten Computereinheit C2 moglich, ohne dafi die Authen- - 
ti f ikat ionsphase A erneut durchfuhren zu mussen. Dies wird 
15 durch Verwendung der Authentif ikat lonsref erenzen hR]\, ARb in 
der Aushandlungsphase SP der Sicherheitspolitik zur impiizi- 
ten Authenci f xkation der- Computereinheiten C1, C2 moglich. 

Die Sicherheitspolitik kann sich m einer Wei terbi Idung bei- 
20 spielsweise uber ganze Sicherhei t sdomanen SI, S2 erstrecken, 
womit eine Gruppe von Rechnern bezeichnet wird, die sich ei- 
ner gemeinsamen Sicherheitspolitik unterordnen. 

Die Sicherheitspolitik kann sich ledoch auch nur auf die ak- 
25 .tuell aufzubauende Verbindung zwischen der ersten Compu- 
tereinheit CI und der zweiten Ccruputereinhei t C2 erstrecken. 

Es wird em Sicherhei tspolitikvorschlag SPzi,, der die zu ver- 
wendende Sicherheitspolitik, die von der ersten Computerein- 
30 heit CI vo r geschlagen wird, enthalt, in der ersten Compu- 
tereinheit CI gebildet. 

Der Sicherheitspolitikvorschlag SP;:^ wird mit dem d f f-entlichen 
Schlussel PK B der zweiten Computereinheit C2 verschlussel t , 
35 wodurch der sensitive Sicherheitspolitikvorschlag SP^^ vor ei- 
nem unbefugten Abhoren geschutzt wird. 
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Feirner wird mindestens auf den Sicherhei tspoli ti kvorschlag 
SPp^, die Identi tat-sangabe Is der zweicen Computereinhei t C2 
sowie die Authent i f i kationsref erenz ARg der zweiren Compu- 
tereinheit C2 eine Hash- Funktion h(.) angewendet wird, mit 
5 der ein erster Hash-Wert hiSPj^, Ig, ARb) gebildet wird. 

Mit dem ersten Hash-Wert h(SP;i^, Ig, AR3) wird die Authentizi- 
tat der ersten Computereinhei t CI sowie des Sicherheitspoli- 
t i kvorschlags SPj^ gewahr leis tet fur die zweite Computerein- 
10 heic C2 . 

Es ist an dieser Stelle mogiich isc, eine asyrrLinecr ische digi- 
tale Uncerschrift zu verwenden, ' wodurch eine Nichtabs trei t- 
barkeit der ;jeweiis digital signierten Nachncht erreicht 
15 wird. 

Die Bildung eines Hash-Wertes auf Basis symme tr ischer Krypto- 
verfahren weist den Vorteil auf, da!3 die Erruittlung des Hash- 
Wertes mintels symmetr ischer Kr yptover f ahren erheblich • 
20 schneller durchgefuhrt werden kann als die Bildung einer di- 
gital en Unterschrif t . 

Es kdnnen beliebige Hash-Funkt ionen im Rahmen dieses Verfah- 
rens eingeserz:: werden, beispielsweise das MD^-Verf ahren, das 

25 MD5-Verf ahren , oder der Hash-Algor i thmus ISO10118. Das Hash- 
Verfahren ISO10116 1st besonders vorteilhaft emsetzbar fUr 
den Fall, wenn eine Hardwareimpl iment ierung des symmetr ischen 
soG . DES-Verschlusselungsver f ahrens (Data Encryption Stan- 
dard) vorhanden ist. 

30 ^ 

Der verschlussel te Sicherheitspolicikvorschlag SPj^ sowie der 
erste Wert h(SPj^, 1^, ARb^ werden zu der zweiten Computerein- 
heit C2 Qbertragen und dort verifiziert. 

35 Als Antwort wird eine Sicherhei tspoiitikbestatigung SP;s^ zu 

der ersten Computereinhei t CI ubertragen, die mit dem bffent- 
lichen Schlussel PK A der ersten Computereinhei t CI ver- 
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schlusseit wird. Ferner wird em zweiter Hash-Wert hlSPji^, 
^A' zweiten Compu t ereinhei t C2 gebildet und zu 

der ersten Comput ereinhei t CI ubertragen, wobei der zweite 
Hash-Wert hfSP^i^, I^, ARz\) mindestens uber die S icherhe i tspc- 
5 lit ikbes tatigung SPpj^, die Identi tatsangabe Ip^ der ersten 
Computereinhei t CI sowie die Authenti f ikationsref erenz AR^i^ 
der ersten Computereinhei t CI gebilder wird. 

Die Sicherheitspolitikbestatigung SPp^ enthalt beispiel sweise 
10 cntwede.r eine Bestatigung der Akzeptanz des von der. ersten 
Computereinhei t CI gesendeten Sicherheitspoli tikvorschlags 
SP;^^, Oder aber emen eigenen, von der zweiten Computereinheit^'-' 
C2 gebildecen Sicherhei tspoiitikvorschiag . Weicht der von der 
zweiten Computereinhei t C2 gebiidete S icherhei tspol i t ikvor- 
15 schlag von dem Sicherheitspolitikvorschiag SPja der ersten 

Computereinhei t CI ab, so mufi auf en t sprechende Weise die er- 
ste Computereinheit CI den weiteren Sicherheitspolitikvor- 
schiag verarbeiten, verif izieren, uberprufen und eine weitere 
Sicherheitspolitikbestatigung zu der zweiten Computereinheit 
20 C2 senden. 

Die Inhalte der Nachrichten sind entsprechend dem oben be- 
schriebenen Verfahren. Die Aushandlungsphase SP der Sicher- 
heitspolitik kann iterativ solange wei tergef uhrt werden, bis^ 
25 sich die erste Computereinheit CI und die zweite Computerein- 
heit C2 auf eine einhei t liche, von beiden Computereinhei ten 
CI, C2 unterstutzte Sicherheitspolitik .,,geeinigf haben . 

Die Schluselaustauschphase SA kann beispielsweise durch fol- 
30 gende Ver f ahrensschr i tte reaiisiert werden. 

Von der ersten Computereinheit CI wird eine erste Schlussel- 
austauschnachricht SAl zu der zweiten Computereinheit C2 
uber tr agen . 

35 

Die erste Schlusselaustauschnachr icht SAl enthalt beispiels- 
weise folgende Komponenten: 
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- eine Angabe P einer zu verwendenden Verbindung, mit der 
eine von mehreren verschiedenen gleichzeitig aktiven 
Verbindungen represent iert v/ird/ 

- einen Zahlwerc C;i^ der ers ten "Computereinheit CI 

5 fur die Schlussei ver tei lung und/oder eine Verbindungs- 

abbruchsnachr icht , 

- einen mit dem offentlichen Schliissel PK_3 der zweiten 
Compu tere inhei t C2 verschlusseiten, im weiteren Verfahren 
zu verwendenden S i t zungsschliisse 1 k, wobeider Sitzungs- 

10 schliissel k vorzeilhaf terweise ein symme tr ischer Sitzungs- 

schliissel isz, der im Rahmen der Verbmdung F emgesetzt 
wird, 

- em dricter Hash-Wert h(k, P, Ca^, Ig, ARg) , der gebildet 
wird mindestens uber den Si t zungsschlussel k, die Verbin- 

15 dung P, den Zahiwert Cp^^ die Identi tat sangabe 1q der 

zweiten Computereinhei t C2 sowie die Authen t i f i ka t ions re- - 
ferenz ARg der zweiten Compu tereinheit C2 . 

Es ist in einer Wei terbi Idung des Verfahrens ebenfalls vorge- 
20 sehen, da[3 der Si t zungsschlussel k ein asyTrunetrisches Schlus- 
selpaar is t . 

Der Zahiwert C;i^ zwischen der ersten Computereinhei t CI und 
der zweiten Computereinhei t C2 dienc dazu, zwischen verschie- 

25 denen Protokolldurchlauf en fur die gleiche Verbindung P zwi- 
schen der ersten Computereinhei t CI und der zweiten Compu- 
tereinheit C2 zu unterscheiden . Indem der jeweils empfangene 
Zahiwert C/^B stets grol3er sein mufi als der zuletzt gespei- 
cherte Zahiwert Cp^, konnen Replay-Attacken, d. h. Angriffe 

30 durch Wiedereinspieiung abgehbrter Daten, entdeckt werden. 

Die erste SchiUssselaus tauschnachricht SAl wird von der zwei- 
ten Computereinhei t C2 anhand des dritten Hash-Wertes h(k, P, 
^AB' ^B' -^b' verifiziert, der Sit zungsschlussel k wird. unter 
35 Verwendung des geheimen Schlussels SK_B der zweiten Compu- 

tereinheit C2 entschlussel t , und es wird eine zweite Schlus- 
selaustauschnachr icht SA2 gebildet, mit der der Empfang und 
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die weitere Verwendung des Si t zungschlusseis k fur die Ver- 
bindung P der ersten Computereinheir CI bestatigt wird. 

Die zweice Schiusselaus tauschnachr icht SA2 enthalt beispiels- 
weise folgende Komponenten : 

- die Verbindung P, 

- einen vierten Hash-Wert h(P, C^,/ Ia' ' ^^r gebildet 
wird mindestens uber die Verbindung P, den Sit zungsschlus- 
sel k, den ersten Zahlwert -/ sowie die Ident i tacsangabe 

) Ip^ der ersten Computereinhei t CI . 

Auf diese Werse ist es moglich, auf einfache Art schnell una ^ 
verlafi)iich in dem Verfahren zu verv;endende Sit zungsschiussel 
zwischen der ersten Coiuputere mhei t CI una der zweiten Ccmpu- 
3 tereinheit C2 aus zut auschen, ohne die gegenseitige Authenti- 
f ikat ionsphase und die Aushandlung der Sicherheitspoii tik SP 
wiederholen zu mussen. 

Dies ist nur augrund des modularen Aufbaus des oben beschrie- 
0 benen Verfahrens moglich, da bei derr. modularen Aufbau emzel- 
ne Phasen des Verfahrens weggelassen oder m beliebiqer Weise 
mi temander kombiniert werden kbnnen. 

Ferner ist es in einer We i t erbi Idung vorgesehen, emen Ver- 
5 bindungsabbruch auch auf erne krypcographische. Weise abzusi- 
chern. Dies kann beispielsweise dadurch erfolgen, daP^ von der 
ersten Computereinhei t Ci eine Verbindungsabbruchsnachr icnt 
VAM gebildet wird und an die zweite Coinputere inhe 1 1 C2 qesen- 
det wird. 

0 

Die Verbmdungsabbruchsnachricht VAN enthalt beispielsweise 
folgende Komponenten: 

- die Verbindung P, 

- erne Angabe zur Identif izierung der Verbindungsabbruchs- 
5 nachricht VAN, 

- den Zahlwert C^B' 

- einen funften Hash-Wert h(P, DR, 0^^^, ARb) . der bei- 
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spielsweise uber die Verbindung P, dieAngabe DR der 
Verbindungsabbruchsnachr icht VAN, den Zahiwert: Cp^, die 
Idenci tatsangabe I5 der zweiten Compu tare inhei r C2, und die 
Authent i f ikationsref erenz AR3 der zweiten Computereinhei t 
C2 gebildet wird. 

Die Verbindungsabbruchsnachricht VAM wird von der zweiten 
Compucereinhei t C2 verifiziert, die Verbindung wird abgebro- 
chen, und es wird eine beispielsweise Verbindungsabbruchbe- 
statigungsnachricht VACKN in der zweiten Computereinheit ■ C2 
gebilder und an die erste Computereinheit CI ubertragen. 

Die Verbindungsabbruchbes tat igungsnachr icht VACPCN enthalr 
beispielsweise f olgende Komponenten : 

- die Verbindung P, 

- erne ^jngabe DA zur Identif izierung der Verbindungsabbruch- 
bes tat igungsnachr icht VACKN, 

- einen sechsten Hash-Wert h(P, DA, Cp^, Ip^, ARz^) , 

der beispielsweise uber die Verbindung P, die Angabe 

DA zur Ideat i f i zierung der Verbindungsabbruchbes tat igungs- 

nachricht VACKN, den Zahiwert C;^^, die Identitats- 

angabe I^zi^ der ersten Computereinheit CI, sowie die Authen- 

tif ikat ionsref erenz AR;i^ der ersten Computereinheit CI 

gebildet wird. 

Mit den Angaben DR, DA zur Identi f izierung der Verbindungsab- 
bruchsnachricht VAN bzw. der Verbindungsabbruchbes tat igungs- 
nachricht VACKN ist es mbglich, Mifibrauch der Hash-Werte bei 
zukiinf t igen Erwei terungen dieser oben beschr iebenen Verfahren 
fur andere Zwecke 2u verhindern. Die Verbindungsabbruchsnach- 
richt VAN und/oder die Verbindungsabbruchbes tatigungsnach- 
richt VACKN enthalten zusatzlich die Angabe uber die verwen- 
dete Verbindung P. 

Die oben beschriebenen und in Fig. 1 darges tell ten Phasen des 
Verfahrens zur Authenti fi zierung A, zur Aushandlung SP der 
Sichsrheitspolitikvorschlac, zum Schlusselaus tausch SA, sowie 
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zum Verbindungsabbruch tconnen m bellebiger Kombination mit- 
eiaander durchgefUhrt werden. 

Es ist in emer We i t e rbi Idung des Verfahrens vorgesehen, dafi 
m der Verbindungsabbruchphase nicht alle geheimen ausge- 
tauschten I nf orma t lonen sofort geioscht werden, sondern daPj 
zuerst nur der 3eweils ausgetauscht e S 1 1 zungsschiiisse 1 k ge- 
ioscht wird und beispielsweise die ausgehandel t e Sicherheirs- 
politik und/oder die Authentif ikationsref erenzen ARa, ARb" m 
den Ccmpucereinheiten CI, C2 gespeichert bleiben. - 

Ferner ist es m einer Weiterbi Idung vorgesehen, die Loschung' 
der qer.eiLt.en geheimen Informationen sukzessive zu' Ibschen, 
d. h. nach Lbschen des Sitzungsschlussels k zuersr die je- 
weiis ausqehandelte Sicherheitspolitik zu Idschen und erst 
anschlieflend die Au thent. .i f i kat ionsre f erenzen ARa, ARb • 

Das Verfanren kann wahrend einer Verbindungsauf bauphase bzw. 
wahrend evner Verbindungsauf bauphase einer Verbindung zwi- 
schen der ersten Computereinheit CI und der zweiten Compu- 
tereinheit. C2 durchgefuhrt werden. 

In einer Weiterbildung des Verfahrens ist es vorgesehen, - die 
einzelnen Nachrichten in einem Nachr ichtenf ormat zu ubertra-^ 
gen,dessen Aufbau in Figur 2 dargestellt ist. 

Bei diesem Nachrichtenf ormat wird den leweils zu iibertragen- 
aen Nachrichten ein Kopffeld KF vorangesteilt . 

3 Das iiu weiteren beschriebene Nachr ichtenf ormat ist in kein- 
ster Weise auf das irr. vorigen beschriebene Verfahren be- 
schrankt, sondern kann in alien kryptographischen Protokollen 
verwendet werden. 

5 Das Kopffeld KF weist vorzugsweise folgence Elemente auf: 
- ein Sicherheits-Flag SF (Security-Flag) der Lange 
mindestens eines Bits, 
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- die Verbindung F, 

- eine Phasenangabe PT einer Phase A, SP, SA, auf die sich 
die jeweiiige Information der Nachricht: bezieht, 

- ein Zahierfeld Z, mit dem die Nachricht jeweils innerhalb 
der jeweiligen Phase A, SP, SA eindeutig ident i f i ziert 
wird, 

- eir^.e Angabe D, beispielsweise. eine Adresse, der die 
Nachricht empf angenden Computereinhei t CI, C2 und/oder 
einer Angabe der S icherhei tsdomane SI, S2, der die 
jeweiiige Computereinhei t CI, C2 zugeordnet ist. 

Weiterhin kbnnen in dem Kopffeid KF m einer Weiterbildung 
auch beispielsweise in dem Feid PT, in dem die jeweiiige Pha- 
se A, SP, SA angegeben v/ird, zusatzlich mindestens eine Anga- 
be uber in der Phase A, SP, SA zu verwendende Algor i thmen,' 
beispielsweise RSA, MD5, HD4 , DES, Elliptische Kurve- 
Aiqorithmen und/oder in den Algorirhmen zu verwendende Para- 
merer enthalten sein. 

Durch das Sicherhei ts-Flag SF, welches die Lange mindestens 
ernes Bits aufweist, wird es fur den- Empfanger bei der Aus- 
wercung des Kopffeides KF auf sehr einfache, schneile und so- 
mit Rechenkapazi tat eirisparende Weise mbglich, zu erkennen, 
ob die jeweils empfangene Nachricht in irgendeiner Weise 
kr yp tographisch behandelt ist. 

Hierzu reicht die Angabe in dem Sicherheits- Flag SF mit emem 
ersten logischen Wert fiir eine kr /ptogr aphisch bearbeitete 
Nachricht und einen zweiten logischen Wert fur eine krypto- 
graphisch nicht bearbeitece Nachrichc aus . 

Au5 diesem Grund ist es in emer Weiterbildung vorgesehen, 
dali das Sicherhei ts-Flag SF nur die Lange genau eines Bits 
auf weist . 

Ein Vorteil des Zahlerfeldes Z ist darin zu sehen, daf: in ei- 
ner Phase A, SP, SA prinzipiell beliebig viele Nachrichten 
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ausgetauscht werden konnen unci die jeweilige Nachricht mner- 
halb der Phase A, SP, SA mittels des Zahlerfeldes Z emdeutig 
ident i f i ziert werden kann . 

Em Vorteil der Phasenangabe PT der Phase A, SP, 5A in dem 
Kopffeid KF isr m der sehr einfachen Erwei terbarkeit des ge- 
samten Verfahrens urn neue Phasen zu sehen, wobei ledigiich 
eine neue Kennzeichnung m die Phasenangabe PT aufgenommen 
werden muPj . Auch ist es mit der Phasenang.;oe PT ebenso em- 
fach mbglich.. schon vorgesehene Phasen zu ersetzen und/oder 
zu loschen. 

Die Nachricht selbsc ist, m emem Feld VL variable- Lange 
en thai ten. 
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In diesem Dokument warden folgende Verdf f entlichunqen zi- 
t ier t : 

1 1 ] f4MC-Ubersichtsartikel 

[21 3. Muftic, Sicherhei tsmechanismen fur Rechnernetze/ Car 
Hanser Veriaq,, Munchen, ISBN 3-4 4 6-1 6272-0, S. 34 - 70, 
1992 

[3] E. Kipp et al. The SSL Protocol, Internee Draft, 

Erhaltlich im Juni 1995 im Internet unter folgender 
Adresse : 

gopher : //ds . mternic . net : 70/00/ incerne t-draf ts/ 
draf t -hi ckman-net scape- 5S 1-01 . txt 
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Patentanspruche 

1. Verfahreri zum kr ypcographischen SchlussGimanagemen t zwi- 
schen emer ersten Computerexnhei t (CI) und einer zweiten 
5 Computer emheit: (C2), 

- bei dem zwischen der ersten Compucereinhei c (CI) und der 
zweiten Computeremhei t {C2) eine Authentif ikacion durchge- 
fUhrt wird, 

- bei dem wahrend der Authentif ikation zwischen der ersten 

10 Coiupucereinheit (CI) und der zweiten Compu tere inhe i t (C2) Au- 
thentif i kationsreferenzen (ARa, ^^b) ausgctauscht werden, rait, 
denen die Auchentizi tat der Computeremhei ten (CI, C2) ge- 
wahrleister. wird, 

- hex dem zwischen der ersten Computer einhei t (CI) und der 
15 zweiten Compu tere mhei t {C2) eine 5icherheitspoiitik (SP) 

ausgehandelt wird und/oder ein Schlusseiaustausch (SA) durch- 
gefuhrt wird, und 

- bei dem bei der Aushandlung der Sicherheitspolitik (SP) 
und/oder bei dem Schlusseiaustausch (SA) miindestens eine der 

20 Authentif ikationsreferenzen (AR^, ARp.) verwendet wird. 



30 



2. Verfahren nach Anspruch 1, " 

- bei -dem die erste Computeremhe 1 1 (CI) einer ersten Sicher- 
heicsdomane (51) zugeordnet isc, 

- bei dem die zweite Computereinhei u (C2) einer zweiten Si- 
cherheitsdomane (S2) zugeordnet ist, 

- bei dem von weiteren Computereinhei ten (Ci) der ersten Si- 
cherhei tsdomane' (SI) oder der zweicen Sicherhei tsdom.ane (S2) 
eine weirere Sicherheitspolitik (SPi) ausgehandelt wird, und 

- bei dem bei der Aushandlung die Authenti.fikat ionsre f erenzen 
(ARjv/ ARb) verwendet werden. 



3. Verfahren nach Anspruch 1 oder 2, 

- bei dem die erste Computereinhei t (CD einer ersten Sicher- 
35 heitsdomane (51) zugeordnet ist, 

- bei dem die zweite Computereinhei t (C2) einer zweiten-Si- 
cherheitsdomane (52) zugeordnet ist. 
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- bei dem von weiteren Compu tereinhei ten (Ci) der ersten Si- 
cherhei tsdomane (SI) oder der zweiten Sicherhei tsdomane (52) 
ein weiterer Schiusseiaustausch (SAi) durchgefuhrt v;ird, und 

- bei dera bei dem Schlusselaus tausch (SAi) die Au thenc i f i ka- 
5 tionsref erenzen (ARp^, ARq) verv/endet werden. 

4. Verfahren nach einem der Anspruche 1 bis 3, 

bei dem im Rahmen des' Verfahrens Hash-Funkt ionen (h()) ver- 
wendet werden^ die auf s VTiimer r ischen Kryptoalgor i thmen basie- 
10 ren . 

5. Verfahren nach einem der Anspruche 1 bis 4, 

bei dem im Rahmen des Verfahren Digitale Signaturen (SIG[); 
ver^endet werden. 

1 5 

6. Verfahren nach einem der Anspruche 1 bis 5, 

bei dem die Authentif ikation nach einem Verfahren gem.afi der 
starken Authentif ikation des X . 509-Ver f ahrens durchgefuhrt 
wird. 

2 0 

7. Verfahren nach einem der Anspruche 1 bis 6, 

- bei dem die Authentif ikation nach einem Verfahren gemafii dem 
Di f f ie- He ilman- Verfahren zumi Schlusselaus tausch durchge f uhrt , 
und 

25 - bei dem die nach dem Dif f ie-Hellman-Verf ahren ausgetausch- 
ten Schlussel als Authentif ikationsreferenzen {ARj\, ARb) ver- 
wendet werden. 

8. Verfahren nach emem der Anspruche 1 bis 7, 

30 bei dem eine Verbindungsabbauphase ( Disccr.nect ) durchgefuhrt 
wird, in deren Rahmen geteilte Geheimnisse, beispielsweise 
der ausgetauschce- Schlussel oder die Authentif ikationre feren- 
zen (ARa/ ARb) geldscht werden. 

35 9. Verfahren nach Anspruch 8, 

bei dem der ausge tauschte Schlussel geldscht wird. 



BNSOOCrO: <WO .9747109A1J _> 



wo 97/47109 



PCT/DE97/01002 



10. Verfahren nach Anspruch 9, 

bei dem anschi.iefiend sukzessive weitere Geheininisse gelbsch 
werden . 

5 
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